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VerttlTentlicht: 

Ohne internationalen Recherchenhericht und vrneut zu 
verojjentlichen nach Erhalt des Herichts. 

'/.ur Erkiarung der Zweibuchstaben-Codes. und der anderen 
Abkurzungen wird auf die l-lrkidrungen ("Guidance Notes on 
Codes and Abbreviations") am Anfangjeder reguldren Ausgabe 
der PCI -Gazette verwiesen. 



Bereich des gesicherten interaen Netzes (2) erfolgt > wobei der Bereich des Warteschlange sowohl nach auBen als auch nach innen 
durch entsprechende Verschliisselungen und optional durch eine innere und/oder eine auBere Firewall (4, 6) gesichert ist 
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VERFAHREN UND TRANSACTIONS INTERFACE. ZUM GE- 
SICHERTEN DATENAUSTAUSCH ZWISCHEN UNTER- 
15 SCHEIDBAREN NETZEN 

Die Erfindung betrifft ein Verfahren und Transaktionsinter- 
face zum gesicherten Austausch zwischen unterscheidbaren 
20 Netzen, insbesondere zwischen einem externen und einem in- 
ternen Netz, wie beispielsweise dem Internet und einem fir- 
meneigenen Intranet . 

Derartige Verfahren und Vorrichtungen zum gesicherten Aus- 
25 tausch zwischen Netzen mit vorzugsweise unterschiedlichen 
Sicherheitsstandards gehbren zum Stand der Technik. 

So gehort es zum Stand der Technik, ein internes Datennetz 
vom externen Netz durch eine sogenannte gesicherte Schnitt- 

30 stelle zu trennen. Die gesicherte Schnittstelle umfaftt da- 
bei im besten Falle einen externen und einen internen Ser- 
ver, die uber eine Firewall miteinander in Datenverbindung 
stehen. Etwaig vom externen Server auf genommene Kundenan- 
fragen werden im externen Server verarbeitet und nach un- 

35 terschiedlichen Sicherheitschecks uber die Firewall an den 
internen Server gegeben, der schliefilich auf die innerhalb 
des zu schiitzenden internen Netzes abgelegten Daten zu- 
greift . 



BESTATIGUNGSKQPIE 
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Die zwischen dem internen und externen Server befindliche 
Firewall soli dabei verhindern, daft von auften, insbesondere 
mifibrauchliche Transaktionen oder Veranderungen am ge- 
5 schutzten Datenbestand des inneren Netzes moglich sind. 

Die Firewall verhindert im Ergebnis, daft externe Kunden oh- 
ne entsprechende Berechtigung in eine Datenverbindung mit 
dem internen Netz treten und daft bei bestehender Datenver- 
10 bindung unzulassige Daten, beispielsweise Virenprogramme 

durch die Firewall in das interne Netz eingespeist werden. 
Hierdurch werden zum Beispiel bei fehlender Berechtigung 
auch an sich zulassige wunschenswerte Kundendienstabf ragen 
die interne Datentransaktionen erf orders abgeblockt. 

15 

Eine iibliche Losung hierfiir, besteht in der Offnung eines 
zusatzlichen speziellen Kunden-Gateways, der einen entspre- 
chenden Zugriff erlaubt. Dies hat wiederum den Nachteil, 
daft iiber dieses zwar besonders gesicherte Gateway nun doch 
20 Angriffe auf den internen Datenbestand moglich sind. 

Eine andere Losung belaftt alle etwaigen Kundenfragen auf 
dem externen Server und vermeidet somit etwaig unerwunschte 
gefahrliche direkte Datenverbindungen nach auften. Nachtei- 

25 lig bei dieser Losung ist aber, daft etwaig vertrauliche 
Kundendaten auf einem ungeschutzten externen Server zwi- 
schengespeichert werden. Aus diesem Grund werden die Daten 
durch Spiegelung haufig abgeglichen. Dies wird infolge der 
dadurch wachsenden Datenmenge mit einer erhohten Prozessor- 

30 leistung bzw. einem schlechteren Zeitverhalten bezahlt. Au- 
fterdem ist bei dieser Losung ein Zugriff in Echtzeit auf 
den geschtitzten Datenbestand des internen Netzes kaum mog- 
lich. 
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. Aus der internationalen Anmeldung WO 97/19611 ist zur L6- 
sung dieser Probleme ein sogenanntes „Securite-Gateway- 
Interface" (SGI) bekannt, das die beschriebenen Probleme 
dadurch zu losen versucht, daft aufgrund einer Kundenanf rage 
5 zunachst eine Authentikation des Kunden erfolgt und im Fal- 
le einer entsprechende Berechtigung des Kunden generiert 
der externe Server dann anhand der Kundenabf rage eine eige- 
ne zulassige Abfrage. Hierdurch ist eine echte Entkopplung 
zwischen den vom Kunden iibermittelten Daten und schliefilich 

10 zur Weiterbearbeitung vorgesehenen Daten gegeben. Die vom 
externen Server generierte Anfrage wird schliefilich liber 
die Firewall an einen internen Server in unter Abwicklung 
weiterer Sicherheitsroutinen weitergeleitet und schlieftlich 
im internen Netz bearbeitet und iiber den externen Server 

15 eine Antwort an den Nutzer ubermittelt. Dieses System 

stellt somit eine vollstandige Entkopplung von internen und 
externen Netzen sicher. Ungelost bleibt allerdings das Pro- 
blem, daft weiterhin vertrauliche Nutzerdaten weitgehend un- 
geschutzt gegen einen Zugriff von auften auf dem externen 

20 Server liegen. Falls ein darauf milibrauchlicher Zugriff auf 
den aulieren ungeschiitzten Server gelingt, konnen hier etwa- 
ig nicht zulassige Abfragen durch entsprechend geschickte 
Manipulation erzeugt werden. Dies ist insbesondere deshalb 
moglich, weil zwangslaufig die Authentikation der Nutzerab- 

25 frage auf dem externen Server erfolgt und somit in dem wei- 
testgehend ungesicherten Bereich des Systems. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfah- 
ren und eine Vorrichtung zum gesicherten Datenaustausch 
30 zwischen unterscheidbaren Netzen zu schaffen, dafl eine 

vollstandige Entkopplung der beiden Netze sicherstellt und 
iiberdies die erwahnten Nachteile des vorbekannten Standes 
der Technik vermeidet. 



35 
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Diese Aufgabe wird durch ein Verfahren zum gesicherten Da- 
tenaustausch gemali Anspruch 1 und ein Transaktionsinterf ace 
gemafi Anspruch 15 gelost. 

5 Dadurch, daft im Unterschied zum Stand der Technik, samtli- 
che Abfragen externer Nutzer von einem Schnittstellenserver 
aufbereitet und in definierter Form in einem Schnittstel- 
lenspeicher zwischengespeichert werden, die vollstandige 
Bearbeitung dieser Abfragen einschliefilich der Authentika- 
10 tion des Nutzers aber innerhalb des gesicherten internen 

Netzes erfolgt ist keinerlei Zugriff von auflen auf sicher- 
heitsrelevante Datenbereiche des internen Netzes moglich. 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
15 den Unteranspruchen 2 bis 14. 

Gemafr Anspruch 2 wird die im Schnittstellenspeicher ange- 
legte Warteschlange ausschliefllich vom inneren Server in 
einer definierten Frequenz abgefragt. Es ist demnach nicht 

20 moglich, aktiv von einem externen Netz aus irgendeine Da- 

tentransaktion im inneren Netz auszulosen, da samtliche Ak- 
tionen vom gesicherten Bereich des inneren Netzes ausgehen 
und auch von hier initiiert werden und schliefilich voll- 
standig hier abgewickelt werden. Hierzu zahlt insbesondere 

25 auch die Authentikation des Nutzers. 

Das Sicherheitslevel des Verfahrens kann durch Verwendung 
einer aufleren Firewall zwischen der neutralen Zone und dem 
vorgeschalteten externen Netz weiter gesteigert werden. Au- 
30 fierdem ist hierdurch der miGbrauchliche Zugriff auf in der 
neutralen Zone abgelegte Daten erschwert, auch wenn diese 
Daten an sich nicht sicherheitsrelevant sind. 
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In diesem Sinn wird eine weitere Steigerung des Sicherheit- 
standards durch Zwischenschaltung einer weiteren inneren 
Firewall zwischen der neutralen Zone und dem internen Netz 
erreicht. Die innere Firewall stellt auch einen wirksamen 
5 Schutz gegen die Spionage von innen, also den Zugriff vom 
internen Netz auf in der neutralen Zone abgelegten Nutzer- 
daten sicher. 



Die innere Firewall erzwingt eine ausschliefilich unindirek- 
10 tionale Kommunikation . Dabei werden Aufrufe grundsatzlich 
nur aus dem Bereich des internen Netzes akzeptiert. Ein 
Aufruf aus der neutralen Zone in den Bereich des gesicher- 
ten internen Netzes ist nicht moglich. 

15 Die Nutzerabf ragen konnen in unterschiedlichen Datenf orma- 
ten eingehen. Hierzu kann es sinnvoll sein, in der neutra- 
len Zone einen speziellen externen Server vorzusehen, der 
fur bestimmte ausgewahlte Datenformate zustandig ist und 
die hier eingehenden Nutzerabf ragen vor der Weiterleitung 

20 an den eigentlichen Schnittstellenserver zunachst konver- 

tiert und ggf. eine Eingangsbestatigung an den Nutzer uber- 
mittelt. 



Dadurch, dafi einmal in der Warteschlange des Schnittstel- 
25 lenspeichers auf genommene Abfragen bis zu ihrer vollstandi- 
gen Abarbeitung resistent zwischengespeichert werden, kann 
die Bearbeitung selbst nach einem vollstandigen Systemab- 
sturz im wesentlichen ohne Datenverlust wieder auf genommen 
werden. Schlimmstenf alls mu5 die Bearbeitung der Abfrage 
30 wiederholt werden. Hierdurch ist das erf indungsgemafle Ver- 
fahren in hochstem Mafte storsicher. Dies stellt sowohl eine 
Maiinahme der Datensicherheit als auch der Bedienerf reund- 
lichkeit dar. 
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Ein weiteres Leistungsmerkmal des erf indungsgemaften Verfah- 
rens besteht darin, daft die Bearbeitungsgeschwindigkeit an 
die jeweilige Last angepaftt werden kann. Dies geschieht ge- 
maii Anspruch 7 zum einen durch lastabhangige Frequenzsteue- 
5 rung der Abfragen des Schnittstellenspeichers . 

Dies kann aber auch mit Vorteil durch das Aktivieren von 
parallelen Prozessen innerhalb des Schnittstellenservers 
und/oder des inneren Servers erfolgen. Die Laststeuerung 

10 wird dabei mit von dem externen Server des Systems oder 
mittels eines Laststeuerungsmoduls der Firewall durchge- 
fiihrt. Dies macht insoweit Sinn, weil die Laststeuerung 
hierdurch an Stellen angeordnet ist, die in Zugrif f srich- 
tung vor dem Schnittstellenserver und/oder innerem Server 

15 liegen und somit die erf orderlichen Prozessorkapazitaten 
bereitstellen konnen bevor sie benotigt werden. Hierdurch 
wird ebenfalls die Bedienf reundlichkeit des Systems erhoht . 

Neben der sof twaremaiiigen Zuschaltung und Aktivierung wei- 
20 terer Prozesse konnen auch zusatzliche Prozessoraktivitat- 
ten gemaft Anspruch 10 durch eine entsprechende Laststeue- 
rung freigegeben oder gesperrt werden. 

Die im Schnittstellenspeicher abgelegten Nutzerabf ragen 
25 werden mit Vorteil verschlusselt . Die Verschlusselung die- 
ser Abfragen erschwert den Zugriff von auften aber auch von 
innen auf etwaig vertrauliche Nutzerabf ragen . Hierdurch 
wird ebenfalls sowohl der Spionage von auften als auch von 
innen vorgebeugt. 

30 

Ein vorteilhaf tes Verschlusselungsverf ahren ist gemali An- 
spruch 12 gegeben. Hierbei ist ein besonderes Sicherheits- 
merkmal durch die individuell vorbestimmbare Lebensdauer 
der jeweils eingesetzten Schlussel gegeben. Dies bedeutet, 
35 daft selbst falls es einem mifibrauchlich Zugreifenden gelin- 
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gen sollte, einen eingesetzten Schlussel zu entschliisseln, 
so ist hierdurch langst nicht sichergestellt , daft er einen 
erf olgreichen Miftbrauch oder gar eine Datentransaktion 
durchfiihren kann, da der mit der Schlusselvergabe definier- 
5 te Zeitkorridor so eng bemessen ist, daft eine miftbrauchli- 
che Zweitverwendung des Schlussels schon aufgrund seiner 
begrenzten Lebensdauer so gut wie ausgeschlossen erscheint. 

Ein weiteres wesentliches Sicherheitssmerkmal des Verfah- 
10 rens liegt darin, daft die Authentikation des jeweiligen 

Nutzers von der eigentlichen Bearbeitung getrennt erfolgt. 

Entscheidend ist gemaft Anspruch 14, daft obwohl die Authen- 
tikation des Nutzers vollstandig im gesicherten Bereich des 
15 internen Netzes vorgenommen wird, zu keinem Zeitpunkt das 

einem Nutzer jeweils zugeordnete Passwort von der neutralen 
Zone in das interne Netz oder in umgekehrter Richtung uber- 
mittelt wird. 

20 Das Verfahren wird vorteilhaft mit einem Transaktionsinter- 
face gemaft dem unabhangigen Anspruch 15 durchgef uhrt . 

Vorteilhafte Weiterbildungen der erf indungsgemaften Vorrich- 
tung ergeben sich aus den Unteranspruchen 16 bis 29. 

25 

Das Sicherheitsniveau der erf indungsgemaften Vorrichtung 
kann gemaft Anspruch 16 oder 17 durch Verwendung einer inne- 
ren und/oder aufteren Firewall weiter erhoht werden. 

30 Die Bedienf reundlichkeit und Anwendungsbreite des Transak- 
tionsinterf aces kann durch einen zusatzlichen externen Ser- 
ver, der in der neutralen Zone angeordnet ist, erhoht sein. 

Eine dynamische Konf iguration des Transaktionsinterf aces 
35 durch standiges, vorzugsweise periodisches, und vor allem 
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selbsttatiges Oberschreiben der Konf iguration aus dem gesi- 
cherten Bereich des internen Netzes stellt ein weiteres Si- 
cherheitsmerkmal dar, da etwaig miftbrauchliche Manipulation 
nen der Konf iguration durch einen unbefugten zugriff aus 
dem externen Netz, so allenfalls von kurzer Dauer sind und 
somit insbesondere die Gefahr einer "schleichenden" Infil- 
tration ausgeraumt ist. Es hat sich erwiesen, daft sich 
langsam auf schaukelnde Eingriffe ein erheblich grofteres Ri- 
siko darstellen als sofortige und massive Eingriffe, die 
ebenso schnell bemerkt und bekampft werden konnen. 

Aus dem gleicher Sicherheitsgedanken heraus ist auch das 
Oberschreiben der statischen Dateninhalte der neutralen 
Zone in vorgebbaren Zeitabstaanden eine sinnvolle Weiter- 
bildung der Erfindung. 

Bei dem erf indungsgemaften Transaktionsinterf ace kann zu ei- 
ner besseren Lastanpassung auch der Schnit tstellenspeicher 
selbst durch eine entsprechende Skalierung an die jeweilige 
Last angepaftt werden. 

Ebenfalls einer besseren Lastansteuerung dient die Anord- 
nung mehrerer Net zwerkrechner innerhalb der neutralen Zone. 

Aus dem gleichen Grund konnen auch mehrerer Netzwerkrechner 
im Bereich des internen Netzes angeordnet sein. 

Dadurch, daft das erf indungsgemafte Transaktionsinterf ace mit 
einer CORBA-Schnittstelle versehen ist, konnen im Bereich 
des internen Netzes unterschiedliche Betriebssysteme zusam- 
menarbeiten und uber das erf indungsgemafte Transaktionsin- 
terface geschutzt sein. 
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In besonders vorteilhaf ter Ausgestaltung ist das gesamte 
Transaktionsinterf ace mit einer durchgehenden CORBA-BUS- 
Architektur versehen. 

5 Die Kommunikation innerhalb des Transaktionsinterf ace wird 
mit Vorteil verschlusselt abgewickelt, vorzugsweise DES- 

r 

verschliisselt . 

Dadurch, daft gemaft Anspruch 25 vor der Bearbeitung entspre- 
10 chender Nutzerabf ragen eine Bestatigungsanf rage an den Nut- 
zer ubermittelt werden kann, ist das Transaktionsinterf ace 
zum korrekten VertragsabschlulJ innerhalb des Internets in 
der Lage. Die hierdurch erlangte nochmalige Bestatigung der 
Nutzerabf rage oder des Vertrages stellt einen einwandf reien 
15 Vertragsschlufl im Bereich des e-commerce sicher. 

Der gesamte Betrieb des Transaktionsinterf aces wird mittels 
eines entsprechenden Logging-Moduls innerhalb eines soge- 
nannten Logging-Protokolls auf gezeichnet . In diesem Log- 
20 ging-Protokoll sind samtliche Transaktionen und Information 
nen, wie etwa die Verweildauer der jeweiligen Nutzerabfra- 
gen in der Warteschlange, die ID der Nutzer u.a. f verzeich- 
net . 

25 Hierdurch ist es einem Administrator moglich, den Betrieb 
zu uberwachen, etwaige Fehlf unktionen friihzeitig aufzuspu- 
ren und insbesondere etwaige Mifibrauchsversuche zu entdek- 
ken. 

30 Die Erfindung wird nachstehend anhand eines oder mehrerer 
in der Zeichnung nur schematisch dargestellte Ausfiihrungs- 
beispiele naher erlautert. Es zeigen: 
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Fig. 1 



ein Blockschaltbild zum Aufbau des Transak- 
tionsinterf aces, 
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Fig. 2 ein detailliertes Blockschaltbild des Trans- 
a kt ions inter faces, 

5 Fig. 3 ein Lauf diagramm zum Verfahren des gesicher- 

ten Datenaustausches und 

Fig. 4 ein Blockschaltbild zum Verf ahrensablauf , 

10 Fig. 1 zeigt ein externes Netz 1 und ein internes Netz 2, 
die uber ein Transaktionsinterf ace 3 miteinander in Daten- 
verbindung treten konnen. 

Beim externen Netz 1 handelt es sich zumeist um das Inter- 
15 net, wobei als internes Netz 2 das Intranet eines Unterneh- 
mens, haufig ein LAN-Netzwerk, in Frage konunt. Das Transak- 
tionsinterf ace 3 ist streng genommen nicht abgeschlossen 
zwischen beiden Netzen angeordnet. 

20 Im Prinzip beginnt der gesicherte Datenaustausch bereits 
innerhalb des externen Netzes 1 und fiihrt schliefilich im 
Ergebnis zu Transakt ionen innerhalb des internen Netzes 2, 
die anhand der gestrichelten Linie in Fig. 1 verdeutlicht 
werden soil. 

25 

Im ubrigen weist das Transaktionsinterf ace 3 eine auftere 
Firewall 4 zur Abschottung einer neutralen Zone 5 gegenuber 
dem externen Netz 2 auf. 

30 Die neutrale Zone 5 ist wiederum gegenuber dem internen 

Netz 2 durch eine weitere innere Firewall 6 abgeschottet . 
Die in Fig. 1 symbolisch dargestellten Pfeile symbolisieren 
nur die Wechselwirkung zwischen den gegeneinander abge- 
grenzten Bereichen und nicht etwa Datenf lufirichtungen. 
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Wie sich aus der detaillierteren Darstellung in Fig. 2 er- 
gibt, umfaftt die neutrale Zone 5 einen Schnittstellenserver 
7 sowie einen externen Server 10. Beim externen Server 10 
wird es sich in den allermeisten Fallen urn einen iiblichen 
Web-Server handeln. Dariiber hinaus ist in der neutralen Zo- 
ne ein Schnittstellenspeicher 11 vorzugsweise als Bestand- 
teil des Schnittstellenservers 7 vorgesehen. Der Schnitt- 
stellenserver 7 steht uber die innere Firewall 6 mit einem 
inneren Server 12, der bereits innerhalb des gesicherten 
Bereichs des internen Netzes 2 angeordnet ist, in Datenver- 
bindung. Der innere Server 12 ist iiber eine CORBA- 
Schnittstelle 13 mit einem oder mehreren Netzservern 14 
oder vorzugsweise verteilten Datenbankanwendungen 15 iiber 
einen CORBA-BUS 16 verbunden. Der CORBA-BUS 16 stellt ein 
offenes Bus-System dar, das sich dadurch auszeichnet, daft 
unterschiedlichste Systeme also auch unterschiedliche Be- 
triebssysteme iiber diesen CORBA-BUS 16 miteinander kommuni- 
zieren konnen. 

So konnen beispielsweise Unix- oder Windows-Betriebs- 
systeme, Gebaudesteuerungssysteme oder Sun-Workstations 
uber denselben CORBA-BUS 16 angesprochen werden. 

Die genannte CORBA-Bus-Architektur wird in bevorzugter Aus- 
fuhrung fur den gesamten Datenaustausch innerhalb des 
Transaktionsinterfaces 3 eingesetzt. 

Der genaue Ablauf des Verfahrens zum gesicherten Datenaus- 
tausch aufgrund einer Nutzerabf rage, eines sogenannten Re- 
questes, aus dem externen Netz 1 wird nachstehend ausfuhr- 
lich anhand Fig. 3 und 4 erlautert: 

Ein externer Nutzer 17 kann sich uber das HTP-Protokoll des 
Internet, beispielsweise ein HTML-Formular zum Datenaus- 
tausch mit dem internen Netz 2 beschaffen. Er hat dann Ge- 
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legenheit, seine Anfrage innerhalb dieses HTML-Formulares 
zu formulieren. Die Verwendung des HTML-Formulares ist not- 
wendig, weil innerhalb des hier beschriebenen Verfahrens 
des gesicherten Datenaustausches nur vorbestimmte zulassige 
5 Datentransaktionen moglich sind. Insoweit ist durch die 

Verwendung von HTML-Formularen sichergestellt , daft auch nur 
diese vorbestimmten Abfragen von den externen Nutzern 17 
formuliert werden. Das HTML-Formular wird dann uber ein 
Client-Interface 20, beispielsweise eine Java-Konsole ver- 

10 schlusselt durch das Internet iibertragen und gelangt, so- 
fern der externe Nutzer 17 uber die entsprechenden Berech- 
tigungen bzw. PaJiworte verfugt, liber eine externe Firewall 
4 auf den externen Server 10, der innerhalb der neutralen 
Zone 5 angeordnet ist. Bei dem externen Server 10 handelt 

15 es sich im hier vorliegenden Falle um einen Web-Server. Das 
Transaktionsinterface 3 kann im Rahmen der Erfindung auch 
mit anderen Datenf ormaten, wie etwa RMI, in Datenverbindung 
treten. So kann der Austausch auch mittels alterer Browser- 
typen oder mit anderen Netzformaten aus dem Internet abge- 

20 wickelt werden. 

Derartigei Abfragen werden dann nicht uber den externen Ser- 
ver 10 abgewickelt, sondern gelangen direkt auf den 
Schnittstellenserver 7. 

25 

Dabei kann der Webserver 10 durchaus eine eigene Prozes- 
soreinheit oder ein Modul des Schnittstellenservers 7 sein. 
Es muft sich dabei nicht unbedingt um eine abgeschlossene 
Rechnereinheit handeln. In dem in Fig. 4 dargestellten Aus- 
30 ftihrungsbeispiel besteht die neutrale Zone 5 im wesentli- 
chen aus dem Schnittstellenserver 7, der eine ganze Reihe 
von Modulen aufweist. 

Die gestrichelten Pfeillinien innerhalb von Fig. 4 stehen 
35 dabei fur einen Aufruf, der eine Aktion an der aufgerufenen 
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Stelle auslost, und die durchgezogenen Pfeillinien fur ei- 
nen DatenfluB in Pf eilrichtung 

Nach Eingang im Webserver 10 wird die aus dem Internet 2 
empfangene Abfrage zunachst entschliisselt ausgelesen und 
schlieBlich an den Schnittstellenserver 7 ubermittelt . Der 
Schnittstellenserver 7 weist ein BegruBungsmodul 21 zur 
selbsttatigen Bestatigung des Eingangs bzw. zur BegruBung 
des Nutzers 17 aus. Vor allem anderen wird eine v Eingangsbe- 
statigung bzw. BegriiBung des externen Nutzers 17 uber den 
Web-Server 10 und die auBere Firewall 4 an den Nutzer 17 
zuriickgegeben . 

Je nach Abfrage ist zu diesem Zeitpunkt entschieden und dem 
Nutzer 17 mitgeteilt worden, ob eine synchrone oder asyn- 
chrone Bearbeitung der eingegangenen Abfrage erfolgt. Bei 
einer synchronen Bearbeitung erhalt der externe Nutzer noch 
in derselben Online-Sitzung das Ergebnis seiner Abfrage. 

Im Unterschied hierzu wird bei einer asynchronen Bearbei- 
tung das Ergebnis erst in einer nachsten Online-Sitzung 
oder in einem gesonderten Vorgang an den externen Nutzer 
ubermittelt. Die Entscheidung, ob eine synchrone oder asyn- 
chrone Bearbeitung erfolgt, richtet sich nach Machtigkeit 
und Sicherheitsrelevanz der vom externen Nutzer 17 empfan- 
genen Abfrage. 

Der Schnittstellenserver 7 beginnt nun die empfangene An- 
frage in unkritische Datenpakete zu zerlegen und in eine 
Warteschlange 22 bzw. 22 ' einzustellen, die in einem spezi- 
ellen Schnittstellenspeicher 11 bzw. 11', der ebenfalls in- 
nerhalb der neutralen Zone 5 angeordnet ist. 

Dabei wird zumindest in dem hier vorliegenden Ausfuhrungs- 
beispiel zwischen einer Warteschlange 22 zur Authentikation 
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des Nutzers 17 und einer Warteschlange 22' mit der eigent- 
lichen Abfrage unterschieden. In der Regel wird es sich da- 
bei urn ein und dieselbe Warteschlange, jedoch unterscheid- 
bare, Speicherbereiche handeln. 

5 

Eine herkommliche Nutzerabf rage umfaftt u.a. auch die Nutzer 
ID und ein Passwort. Die Nutzer ID wird unter Verwendung 
des vom Nutzer 17 im Rahmen seiner Abfrage ubermittelten 
Passwortes verschliisselt in der Warteschlange 22 abgelegt. 

10 

Zur Authentikation des Nutzers 17 wird die jeweilige Nutzer 
ID auf Anfrage des inneren Servers 12 unter Oberwindung der 
inneren Firewall 6, aber ansonsten unverschliisselt , in den 
Bereich des internen Netzes 2 an ein Authentif ikationsmodul 
15 23 gegeben. 

Innerhalb des Authentikationsmoduls 23 wird unter Verwen- 
dung des im Bereich des internen Netzes 2 zu der jeweiligen 
Nutzer-ID abgelegten Passwortes die Nutzer-ID verschliis- 
20 selt und uber die innere Firewall 6 verschlusselt in die 
neutrale Zone 5 zuruckgegeben. 

In der neutralen Zone 5 wird dann mittels eines in der neu- 
tralen Zone implementierten Authentikationsservices 24 des 
25 Schnittstellenservers 7 die jeweilige Nutzer-ID unter Ver- 
wendung des vom Nutzer 17 eingegebenen Passwortes ent- 
schliisselt und die erhaltene Nutzer-ID mit der zwischenge- 
speicherten Nutzer-ID verglichen. 

30 Fur den Fall, daft die beiden ID's ubereinstimmen, wird die 
Bearbeitung fortgesetzt bzw. freigegeben, ansonsten erfolgt 
eine entsprechende Miteilung an den externen Nutzer 17. 

Bevor die vom externen Nutzer 17 empfangene Abfrage in der 
35 entsprechend auf bereiteten Form in die Warteschlange 22' 
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eingestellt wird, erfolgt eine Verif izierung der Abfrage. 
Es werden nur solche Datensatze in die Warteschlange einge- 
stellt, die semantisch korrekt sind. Ansonsten wird die Be- 
arbeitung abgebrochen und eine entsprechende Message uber 
5 den Web-Server 10 an den externen Nutzer 17 abgegeben. 

Darliber hinaus wird in der neutralen Zone 5 eine Bearbei- 
tungsprotokoll 25 der aktuell laufenden Bearbeitungen ge- 
f uhrt . 

10 

Die im Schnittstellenspeicher 11 angelegte Warteschlange 
22' wird in regelmaftigen Abstanden vom inneren Server 12 
auf etwaig vorhandene und noch zu bearbeitende Abfragen ge- 
pruf t . 

15 

Dies stellt sicher, daft unter keinen Umstanden der Zugriff 
des externen Nutzers 17 irgendeine Aktivitat innerhalb des 
geschutzten internen Netzes 2 ausldst, sondern der Zugriff 
auf die in die Warteschlange 22' eingestellten Abfragen er- 
20 folgt vielmehr selbsttatig von seiten des internen Servers 
12. Dies ist ein wesentlicher Aspekt, um etwaige Manipula- 
tionen zu verhindern. 



Fur den Fall, daft auf die vom inneren Server 12 veranlaftte 
25 Abfrage der Warteschlange 22' innerhalb der Warteschlange 

22' noch abzuarbeitende Nutzerabf ragen festgestellt werden, 
werden diese vom inneren Server 12 angefordert. Vor der 
Obermittlung der Anfrage an den inneren Server 12 erfolgt 
jedoch zunachst eine Verschlusselung der Anfrage. Diese 
30 Verschlusselung erfolgt nach dem Verfahren DES mit einer 
Schliissellange von 56 BIT. Selbstverstandlich konnen auch 
andere Verschlusselungsverf ahren und Schlussellangen einge- 
setzt werden. Die eingesetzten Schlilssel werden in einem 
Schlusselmanagement uberwacht und permanent verandert. 
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Die Verschlusselung erfolgt mittels eines bei der Konfigu- 
ration des Systems erstellten Basisschlussel, der eine 
asynchrone SSL-Verschliisselung bewirkt. Im weiteren erfolgt 
dann unter Verwendung dieses Basisschlussels eine synchrone 
5 DES-Verschlusselung. ^ 

Insbesondere haben die eingesetzten Schliissel nur eine in- 
dividuell konf igurierbare Lebensdauer. Dies bedeutet, daft 
mit der Schlusselvergabe ein schmaler Zeitkorridor zum ge- 
10 sicherten Datenaustausch eroffnet wird. nach Ablauf der Le- 
bensdauer kann der Schliissel, selbst wenn es einer unbefug- 
ten Person gelange, ihn zu entschlusseln, nicht mehr ge- 
nutzt werden. Eine miBbrauchliche Zweitverwertung von 
SchlQsseln ist hierdurch nahezu ausgeschlossen . 

15 

Diese erneute Verschlusselung der Abfrage vor der Ubermitt- 
lung an den inneren Server 12 dient in erster Linie dazu, 
ein Hacking von innen also ein Abhoren vertraulicher Nut- 
zerabfragen im Bereich des geschutzten inneren Netzes 2 zu 
20 vermeiden. 

Hierdurch beugt das beschriebene Verfahren im gesicherten 
Datenaustausch zusatzlich einer Spionage von innen vor. Die 
derart verschllisselte Abfrage wird erneut hinsichtlich der 
25 Struktur, Inhalt und den Feldinhalten uberpriift. 

Fur den Fall, daft die nunmehr erzeugte Abfrage sich als 
nicht zulassig erweist, wird an dieser Stelle die Weiterbe- 
arbeitung abgebrochen und eine entsprechende Mitteilung an 
30 den externen Nutzer 17 ubermittelt. 

Fur den Fall, daft die Abfrage weiter zulassig ist, also ei- 
ner vorbestimmten Datenabfrage oder Transaktion entspricht, 
wird die betreffende Abfrage iiber die innere Firewall 6 des 
35 Transaktionsinterfaces 3 an den inneren Server 12 ubermit- 
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telt. Die Datenbankabf rage kann je nach Sicherheitsrelevanz 
und Machtigkeit auf einen oder mehreren Servern 12, 12'oder 
12'' unter Hinzuziehung von einer oder mehreren Datenbank- 
anwendungen 15 abgearbeitet werden. Somit werden alle si- 
cherheitsrelevanten Vorgange im gesicherten Bereich des in- 
ternen Netzes 2 abgewickelt. 

Hierzu mufi zunachst die am inneren Server 12 angelangte Ab- 
frage vor der Weiterbearbeitung entschlusselt werden. 

Nach Bearbeitung der Anfrage erfolgt eine Ergebnisausgabe, 
die verschlusselt liber die innere Firewall 6 an den 
Schnittstellenserver 7 zuruckgegeben wird. Der Schnittstel- 
lenserver 7 fuhrt dann eine sogenannte „Matching-Kontrolle u 
durch; d.h. es wird uberpruft, ob das im Bereich des inter- 
nen Netzes 2 erzeugte Ergebnis mit der Nutzerabf rage im 
Einklang steht. Falls dies nicht der Fall ist, wird eine 
Fehlermeldung an den externen Nutzer 17 ubermittelt. 

Sollte dies der Fall sein, wird das Ergebnis an den Web- 
Server 10 ubermittelt, in ein geeignetes Format umgesetzt 
und schlieftlich uber die aufiere Firewall 4 an das Internet 
1 an den externen Nutzer 17 ubertragen. Somit ist eine 
vollstandige Datentransaktion unter Verwendung des erfin- 
dungsgemaJien Transaktionsinterf aces 3 beschrieben. 

Das Transaktionsinterf ace 3 ist uberdies mit einer dynami- 
schen Laststeuerung versehen, die eine Anpassung des Trans- 
aktionsinterf aces 3 an den jeweiligen „Traffic" ermoglicht. 
Zusatzlich kann, wie aus Fig. 4 deutlich wird, anhand des 
traffics eine lastabhangige Skalierung des Schnittstellen- 
speichers 11' erfolgen. Dies wird in Fig. 4 durch die mog- 
liche Vervielf altigung des mit dem Bezugszeichen 11' verse- 
henen Bereiches dargestellt. 
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Dies bedeutet, daft der Schnittstellenserver 7 in Abhangig- 
keit von der anstehenden Last die eingehenden Anfragen ent- 
sprechend geschickt in die Warteschlange 11 bzw. 11' ein- 
reiht und bedarfsweise weitere Prozesse also parallele War- 
teschlangen 11 x aktiviert, die parallel abgearbeitet werden 
konnen. Hierzu konnen innerhalb der neutralen Zone 5 auch 
mehrere Schnittstellenserver 7, 7' bzw. Serverbereiche vor- 
gesehen sein, die je nach Last aktiviert werden. Die Last- 
steuerung wird dabei entweder vom Web-Server 10 oder von 
einem Modul der aufteren Firewall 4 ubernommen bzw. einem 
Laststeuerungsmodul 26 des Schnittstellenservers 7. 

Das vorbeschriebene Lastmanagement wird vorteilhaf terweise 
gemaft Fig. 6 durch eine entsprechende Laststeuerung auch im 
Bereich des internen Netzes 2 unterstutzt. 

So konnen in Abhangigkeit von der anfallenden Last mehrere 
innere Server 12, 12' aktiviert oder gesperrt werden und 
zusatzliche Datenbankanwendungen 15 zur Bearbeitung der 
eingehenden Nachfrage im Bereich des internen Netzes 2 ak- 
tiviert werden. 

Hierbei ist es hilfreich, das gesamte Transaktionsinterf ace 
3 mit einer durchgangigen CORBA-BUS-Architektur zu verse- 
hen, so daii jeder Abfrage eine oder mehrere Serverprozesse 
zugeordnet werden konnen. 

Der auf Seiten des internen Netzes 2 agierende innere Ser- 
ver 12 ist hierzu mit einer CORBA-Schnittstelle 13 verse- 
hen. 

Die im System eingesetzten inneren und aufteren Firewalls 4 
und 6 konnen vollkommen herkommliche Sof twareprodukte sein. 
Der CORBA-Bus ermoglicht im ubrigen auf Seiten des internen 
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Netzes die Zusammenschaltung verschiedener Betriebssysteme 
wie Windows, NT oder Unix. 

Die oben beschriebene spezielle Architektur des Transakti- 
onsinterf aces 3 gestattet es, die im Zusammenhang mit einem 
wirksamen Vertragsschluli im Bereich des e-commerce erfor- 
derlichen Mindestanf orderungen zu erfullen. So kann eine 
iiber den Web-Server 10 an den Schnittstellenserver 7 iiber- 
mittelte Anfrage zunachst dahingehend uberpruft werden, ob 
es sich urn eine Vertragsanf rage handelt. Fur den Fall, dafi 
es sich urn eine derartige Anfrage handelt, kann ein soge- 
nanntes auf den Schnittstellenserver 7 angelegtes Vertrags- 
modul vor der Weiterbearbeitung zunachst eine Bestatigungs- 
anfrage an den externen Nutzer richten und erst im Falle, 
daft iiber den Web-Server 10 diese Bestatigung eingeht, eine 
Weiterbearbeitung wie oben beschrieben erfolgen. 

Der Schnittstellenserver 7 ist daruber hinaus mit einem 
Logging-Modul versehen, das samtliche Transaktionen des 
20 Transaktionsinterf aces 3 protokolliert . Hierdurch konnen 
samtliche Prozesse standig von einem Administrator iiber- 
wacht und gegebenenf alls Fehlf unktionen oder Miftbrauchver- 
suche sofort aufgedeckt werden. 

25 Der Administrator sitzt ausschlieftlich im Bereich des in- 

ternen Netzes 2. Die Konf iguration des Transaktionsinterf a- 
ces kann nur von hier erfolgen. 

Somit ist ein Verfahren und ein Transaktionsinterf ace 3 zum 
30 gesicherten Datenaustausch zwischen zwei unterscheidbaren 
Netzen 1, 2 gegeben, das bei vollstandiger Entkopplung der 
Netze 1 und 2 mit einer hohen Performance arbeitet und ei- 
nen Miftbrauch von auften wie von innen unmoglich erscheinen 
laftt. 
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10 

PATENTANSPRUCHE 

15 1. Verfahren zum gesicherten Datenaustausch zwischen einem 
externen und einem internen Netz (1 und 2) liber ein 
Transaktionsinterf ace (3) hinweg, bei dem ein externer 
Nutzer vorbestiirante Datentransaktionen innerhalb des 
internen Netzes (2) vornehmen kann, wobei das Transak- 

20 tionsinterface (3) 

ein Portal im externen Netz (1), 

eine in Zugrif f srichtung dahinterliegende neutra- 
le Zone (5) rait wenigstens 
einem Schnittstellenserver (7) und 
25 - einem Schnittstellenspeicher (11), 

sowie einen inneren Server (12) , der bereits in- 
nerhalb des internen Netzes (2) angeordnet ist, 

umf aBt , 

dadurch gekennzeichnet , 

30 - daft Abfragen externer Nutzer (17) , die eine Daten- 
transaktion innerhalb des internen Netzes (2) vom 
Schnittstellenserver (7) aufbereitet und in definier- 
ter Form im Schnittstellenspeicher (11) zwischenge- 
speichert werden und 

35 - die vollstandige Bearbeitung einschlieftlich einer 

Nutzerauthentikation innerhalb des internen Netzes 
(2) erfolgt. 
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2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , daft 
folgende Schritte durchlaufen werden; 

etwaig uber das Portal eingegebene Nutzeranf ragen 
5 werden vom Schnittstellenserver (7), der innerhalb 

der neutralen Zone (5) angeordnet ist, ausgelesen und 
ggf. quittiert, 

wobei diese etwaige Quittierung an den Nutzer uber- 
mittelt wird, 

10 - der Schnittstellenserver (7) iAberpruft die Zulassig- 

keit der Anfrage anhand eines Vergleichs mit einer 
Menge vorbestimmter zulassiger Anfragen und deren se- 
mantische Korrektheit, wobei im Fehlerfalle die An- 
frage abgewiesen und ansonsten wie folgt weiter bear- 

15 ^ beitet wird 

im Falle der Weiterbearbeitung stellt der Schnitt- 
stellenserver (7) die Anfrage in eine Warteschlange 
(22, 22*), die innerhalb des Schnittstellenspeichers 
(11) angelegt ist, 

20 - diese Warteschlange (22, 22") wird in einer definier- 

ten Frequenz vom inneren Server (12) abgefragt, 
wobei auf diese Abfrage hin eine Ubermittlung der 
aufbereiteten Anfrage in das interne Netz (2) er- 
folgt, 

25 - wobei dann die vollstandige Bearbeitung einschlieft- 

lich der Autentikation des Nutzers (17) im internen 
Netz (2) erfolgt, 

das Ergebnis an den Schnittstellenserver (7) zuriick- 
gegeben wird und 
30 - nach einer Oberpriifung, ob Ergebnis und Abfrage in 

Einklang stehen, 

bejahendenf alls eine Antwort an den Nutzer (17) aus- 
gegeben wird. 



35 
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3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich- 
net, daft die Nut zeranf ragen vom externen Netz (l)unter 
Oberwindung einer aufteren Firewall (4) in die neutrale 
Zone (5) gegeben werden. 

4. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daft der Datenaustausch zwischen 
der neutralen Zone (5) und dem internen Netz (2) unter 
Oberwindung einer inneren Firewall (6) abgewickelt 
wird. 

5. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daB in der neutralen Zone (5) zu- 
satzlich ein externer Server (10), vorzugsweise ein 
Web-Server, angeordnet ist, wobei zumindest ein Teil 
der Nut zeranf ragen liber diesen externen Server (10) an 
den Schnittstellenserver (7) ubermittelt werden. 

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daB 
einmal in der Warteschlange (22, 22 M des Schnittstel- 
lenspeichers (11) auf genommene Abf ragen bis zur voll- 
standigen Abarbeitung oder bis zu einem definierten 
Zeitablauf resistent gespeichert werden. 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daB 
die Frequenz der Warteschlangen-Abf ragen in Abhangig- 
keit von der Anzahl und/oder der Machtigkeit der Nut- 
zerabfragen mittels einer entsprechenden Frequenzsteue- 
rung verandert wird. 
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8. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet , daft in Abhangigkeit von der An- 
5 zahl und/oder der Machtigkeit der Nutzerabf ragen paral- 

lele Prozesse innerhalb des Schnittstellenservers (7) 
und/oder inneren Servers (12) freigegeben oder deakti- 
viert werden. 

Verfahren nach Anspruch 8, dadurch gekennzeichnet , daft 
innerhalb der neutralen Zone (5) mehrere Schnittstel- 
lenserver (7) angeordnet sind, die je nach Anzahl 
und/oder Machtigkeit der Nut zeranf ragen aktiviert oder 
deaktiviert werden, wobei die hierzu erf orderliche 
Laststeuerung mittels des externen Servers (10) 
und/oder mittels eines Laststeuerungsmoduls der aufieren 
Firewall (4) erfolgt. 

10. Verfahren nach Anspruch & und 9, dadurch gekennzeich- 
20 net, daft innerhalb des internen Netzes (2) mehrere in- 

nere Server (12) angeordnet sind, die je nach Anzahl 
und/oder Machtigkeit der Nut zeranf ragen aktiviert oder 
deaktiviert werden, wobei die hierzu erf orderliche 
Laststeuerung mittels des Schnittstellenservers (7) 
25 und/oder mittels eines Laststeuerungsmoduls der inneren 

Firewall (6) erfolgt. 

11. Verfahren nach einem der vorhergehenden Anspriiche, da- 
durch gekennzeichnet, daft die Nutzerabf ragen vor Ihrer 

30 Ubermittlung in die innere Zone (2) innerhalb der neu- 

tralen Zone (5) verschlusselt werden. 



10 9. 



15 



35 



12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, daft 
die zur Verschliisselung jeweils eingesetzten Schlussel 
eine individuell vorbestimmbare Lebensdauer haben. 
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13. Verfahren nach einem der vorhergehenden Anspriiche, da- 
durch gekennzeichnet, daft die Authentikation des Nut- 
zers (17) unabhangig von der sonstigen Bearbeitung der 
Nut zerabf rage erf olgt . 

5 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet. daft 
die zur Authentikation des Nutzers (17) folgende 
Schritte durchlaufen werden; 



10 - Separierung einer Nutzer-ID und eines Nut zerpasswor- 

tes aus der Nutzerabf rage in der neutralen Zone (5), 
auf Anfrage des inneren Servers (12) Ubermittlung der 
Nutzer-ID an das interne Netz (2), 

Verschlusselung der Nutzer ID im inneren Netz (2) un- 
15 ter Verwendung des im inneren Netz (2) zu dieser Nut- 

zer-ID abgelegten Passwortes, 

und Ruckgabe der solcherart verschlusselten Nutzer ID 
in die neutrale Zone (5), 

Entschlusselung der aus dem inneren Netz (2) zuruckge- 
20 gebenen Nutzer-ID unter Verwendung des vom Nutzer 

(17) eingegebenen und in der neutralen Zone (5) zwi- 
schengespeicherten Passwortes, 

Vergleich der entschlusselten Nutzer ID und der vom 
Nutzer eingegebenen, wobei im Falle der Ubereinstim- 
25 mung die Authentizitat des Nutzers bestatigt und an- 

dernfalls verneint wird und Abhangigkeit hiervon die 
Nutzerabf rage weiter bearbeitet wird oder nicht. 



30 
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15. Transaktionsinterface zum gesicherten Datenaustausch 
zwischen einem externen und einem internen Netz (1 und 
2), bei dem ein externer Nutzer (17) vorbestimmte Da- 

5 tentransaktionen innerhalb des internen Netzes (2) aus- 

losen kann und hierzu das Transaktionsinterface (3) 

eine neutrale Zone (5), die in Zugrif f srichtung hin- 
ter einem Portal im externen Netz (1) angeordnet ist 
und wenigstens einen Schnittstellenserver (7) , sowie 
10 - wenigstens einen Schnittstellenspeicher (11) auf- 

weist , 

wenigstens einem inneren Server (12) , der innerhalb 
des internen Netz (2) angeordnet ist, umfaftt, 
dadurch gekennzeichnet , 
15 - daft innerhalb des Schnittstellenspeichers (11) eine 

Warteschlange (22, 22 x ) zur Zwischenspeicherung von 
Nutzeranf ragen angelegt ist, 

die in einer definierten Frequenz vom inneren Server 
(12) abfragbar ist und 
20 - daft nach Obermittlung der entsprechend aufbereiteten 

Anf ragen an den inneren Server (12) die vollstandige 
Bearbeitung der Anfragen, einschlieftlich der Nutzer- 
authentikation, innerhalb des internen Netzes (2) 
vorgesehen ist. 

25 

16. Transaktionsinterface nach Anspruch 15, dadurch gekenn- 
zeichnet, daft die neutrale Zone (5) gegenuber dem ex- 
ternen Netz (1) mittels einer aufteren Firewall (4) ab- 
geschottet ist. 

30 

17 . Transaktionsinterface nach Anspruch 15 oder 16, dadurch 
gekennzeichnet, daft das interne Netz (2) gegenuber der 
neutralen Zone (5) mittels einer inneren Firewall (6) 
abgeschottet ist. 
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18 . Transaktionsinterf ace nach einem der Anspruch 15 bis 

17, dadurch gekennzeichnet, daft innerhalb der neutralen 
Zone (5) zusatzlich ein externer Server (10) vorgesehen 
ist, der aus dem externen Netz(l) unmittelbar oder mit- 
telbar uber den Schnittstellenserver (7) zur Bearbei- 
tung von Nut zerabf ragen ansprechbar ist. 

19. Transaktionsinterf ace nach einem der Anspriiche 15 bis 

18, dadurch gekennzeichnet, daft die Konf iguration des 
Transaktionsinterf aces (3) in vorgebbaren Zeitabstanden 
aus dem internen Netz (2) selbsttatig uberschrieben 
wird. 

20. Transaktionsinterf ace nach einem der Anspriiche 15 bis 

19, dadurch gekennzeichnet, daft in der neutralen Zone 
(5) abgelegte Daten in vorggebbaren Zeitabstanden aus 
dem internen Netz (2) selbsttatig uberschrieben werden. 

21 . Transaktionsinterf ace nach einem der Anspriiche 15 bis 

20, dadurch gekennzeichnet, daft der Schnittstellenspei- 
cher (11) derart skalierbar ist, daft aus dem externen 
Netz (1) eingehende Nutzerabf ragen je nach Umfang und 
Dringlichkeit entsprechend in die Warteschlange (22, 

22 x ) des Schnittstellenservers (7) einsortiert und ge- 
gebenenfalls zusatzliche Prozesse aktivierbar sind. 

22 . Transaktionsinterf ace nach Anspruch 21, dadurch gekenn- 
zeichnet, daft innerhalb der neutralen Zone (5) mehrere 
Netzwerkrechner angeordnet sind, auf denen jeweils ein 
Schnittstellenserver (7) angeordnet ist, wobei in Ab- 
hangigkeit von der Anzahl und/oder Machtigkeit der Nut- 
zeranfragen zusatzliche Server (7) aktiviert oder de- 
aktiviert werden konnen, wobei die Laststeuerung vom 
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externen Server (10) und/oder der aufteren Firewall (4) 
erf olgt . 

23. Transaktionsinterface nach Anspruch 20 oder 2119, da- 
durch gekennzeichnet, dafi im Bereich des internen Net- 
zes (2) mehrere Netzwerkrechner angeordnet sind, die 
jeweils mit einem inneren Server (12) versehen sind, 
die je nach Umfang und Machtigkeit der Nutzeranf ragen 
aktivierbar oder deaktivierbar sind, wobei die Last- 
steuerung von der inneren Firewall (6) bzw. einem oder 
mehreren Schnittstellenservern (7) ubernommen wird. 

24. Transaktionsinterface nach einem der vorhergehenden An- 
spruche 15 bis 23, dadurch gekennzeichnet , daft der in- 
nere Server (12) liber einen CORBA-Bus mit dem internen 
Netz (2) kommuniziert 

25. Transaktionsinterface nach Anspruch 22, dadurch ge- 
kennzeichnet, daft das gesamte Transaktionsinterface (3) 
uber ein durchgehendes CORBA-Bus-System in Datenverbin- 
dung steht. 

26. Verfahren nach einem der vorhergehenden Anspruche 15 
bis 23, dadurch gekennzeichnet, daft die gesamte interne 
Schnittstellenkommunikation SSL-verschlusselt , vorzugs- 
weise DES verschlusselt , erf olgt. 

27. Verfahren nach einem der vorhergehenden Anspruche 15 
bis 24, dadurch gekennzeichnet, daft der Schnittstellen- 
server (7) vor der Einstellung bestimmter Nutzeranfra- 
gen eine Bestatigungsanf rage an den Nutzer (17) uber- 
mittelt und erst nach Eingang der Bestatigung die Wei- 
terbearbeitung erf olgt. 
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28. Verfahren nach einem der vorhergehenden Anspriiche 15 
bis 25, dadurch gekennzeichnet, daft mittels eines Log- 
ging-Moduls ein Logging-Protokoll auf gezeichnet wird, 

5 das samtliche liber das Transaktionsinterf ace (3) abge- 

wickelten Transaktionen auf zeichnet . 

29 . Verf ahren nach einem der vorhergehenden Anspruche 15 
bis 26, dadurch gekennzeichnet , daft die Konf iguration 

10 des Schnittstellenservers (7) ausschliefilich aus dem 

internen Netz (2) durchfuhrbar ist. 
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